ru.nethack

 
 - RU.NETHACK -------------------------------------------------------------------
 From : Alexey V. Vissarionov                2:5020/545     01 Nov 2005  14:31:25
 To : Alexander Andrusenko
 Subject : зомби за NATом
 -------------------------------------------------------------------------------- 
 

 
 31 Oct 05  09:42:04 Alexander Andrusenko -> Alexey V. Vissarionov:
 
  AV>>  Лечится запретом исходящих SMTP-соединений на любые IP-адреса,
  AV>>  кроме местного релея (именно запретом, а не заворачиванием на
  AV>>  релей).
  AA> Я немножко запутался. Если не затруднит, подскажи пожалуйста, где именно.
  AA> 1. Червь пытается рассылать себя через случайные SMTP-адреса.
  AA> 1a. Запрета исходящих SMTP-соединений нет. Червь лезет куда хочет и
  AA> вычислить его трудно.
 
 Говно наружу лезет, идентифицировать зараженную машину сложно.
 
  AA> 1b. Есть запрет исходящих SMTP-соединений. Червь тихо долбится в стену (и 
  AA> не исключено, что делает что-то еще), но вычислить его по-прежнему трудно.
 
 Почему? Hеужели deny + log уже отменили и запретили?
 Говно наружу не лезет, идентифицировать зараженную машину легко.
 
  AA> 1c. Есть заворачивание исходящих SMTP-соединений на свой SMTP-сервер.
  AA> Червь лезет куда хочет, но вычислить его легко.
 
 Говно наружу лезет, идентифицировать зараженную машину легко.
 
  AA> 2. Червь шлет чебя через SMTP, настроенный на клиенте. Этот вариант
  AA> полностью идентичен варианту 1c.
 
 Говно наружу лезет, идентифицировать зараженную машину - как получится.
 
  AA> Случай 1b+2 требует большего количества телодвижений чем 1c+2, а результат
  AA> примерно такой же. Получается, заворачивание выгоднее?
 
 Задача - ограничить количество говна, лезущего наружу. В этом случае вариантов
 кроме 1b не остается.
 
  AA> Может, моя ошибка в том, что я рассматриваю почтовых червей, а не
  AA> зомбирование, а у них разные цели и поэтому зачастую разные механизмы? 
  AA> Или я переоцениваю возможность вычислить червя, отправляющего себя
  AA> через мой SMTP-сервер? Или что-то еще?
 
 Определить зараженный компутер - это всего лишь метод пресечения нежелательного 
 трафика.
 Alexey V. Vissarionov aka Gremlin from Kremlin (gremlin ПРИ gremlin ТЧК ru)
 [DRBL] [OWL] [SRT]
 
 ... Исходный текст - частный случай конфигурационного файла
 --- /bin/vi
  * Origin: http://openwall.com/Owl/ru/ (2:5020/545)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    зомби за NATом   Dmitri Zubko   28 Oct 2005 17:08:26   Re: зомби за NATом   John Freeman   29 Oct 2005 03:40:47   зомби за NATом   Yaroslav_Kovalyov   29 Oct 2005 23:22:08   Re: зомби за NATом   John Freeman   30 Oct 2005 02:07:33   Re^2: зомби за NATом   Dmitri Zubko   29 Oct 2005 11:38:44   Re: зомби за NATом   John Freeman   30 Oct 2005 02:08:26   зомби за NATом   Alexey V. Vissarionov   29 Oct 2005 15:45:24   Re: зомби за NATом   Alexander Andrusenko   31 Oct 2005 10:42:04   зомби за NATом   Alexey V. Vissarionov   01 Nov 2005 14:31:25   Re: зомби за NATом   Alexander Andrusenko   01 Nov 2005 15:51:57   зомби за NATом   Alexey V. Vissarionov   02 Nov 2005 23:45:48   RE: зомби за NATом   Sergey Shiktarev   29 Oct 2005 21:18:09   зомби за NATом   Cybervlad   31 Oct 2005 10:26:12